ли возможность SQL-инъекции даже при использованииmysql_real_escape_string() функционировать?

Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом:

$login = mysql_real_escape_string(GetFromPost('login'));
$password = mysql_real_escape_string(GetFromPost('password'));

$sql = "SELECT * FROM table WHERE login='$login' AND password='$password'";

Я слышал, как многие люди говорят мне, что подобный код все еще опасен и его можно взломать даже сmysql_real_escape_string() функция используется. Но я не могу думать ни о каком возможном подвиге?

Классические инъекции, как это:

aaa' OR 1=1 --

не работает.

Знаете ли вы о возможных инъекциях, которые могли бы пройти через код PHP выше?